O Active Directory i nie tylko

Synchronizacja czasu w domenie - jak ustawić i dlaczego to takie ważne?

W Active Directory synchronizacja czasu ma ogromne znaczenie, choćby ze względu na czas ważności biletu Kerberos wykorzystywanego do uwierzytelnienia. Z tego względu czas na wszystkich komputerach i serwera w domenie powinien być jednakowy aby uniknąć różnych problemów z logowaniem lub uruchamianiem programów korzystających z sieci.

Jak ustawić synchronizacje czasu?

 

  1. W Active Directory używamy Usługą Czasu Systemu Windows do synchronizacji zegara: W32Time
  2. Wszystkie maszyny członkowskie synchronizują się z dowolnego kontrolera domeny,
  3. W domenie, wszystkie kontrolery domeny synchronizują się  z PDC Emulator (Primary Domain Controlerr) z tej domeny: używając NT5DS
  4. Podstawowy kontroler domeny (PDC) powinien synchronizować z dowolnym kontrolerem domeny nadrzędnej: za pomocą protokołu NTP,(o ile mamy jakąś domenę nadrzędną w innym przypadku pkt 5)
  5. Emulator Podstawowego Kontrolera Domeny (PDC) domeny głównej w lesie należy zsynchronizować z zewnętrznym serwerem czasu (może być to urządzenie zegar, router, inny serwer autonomiczny, internetowym serwerem czasu ...

Synchronizacja czasu w Active Directory

Ale w jaki sposób skonfigurować czas w moim Active Directory?

Cóż, to proste! Normalnie powinno być ustawione prawidłowo, o ile nie zmodyfikowaliśmy tego wcześniej.

W przeciwnym razie możemy zrobić zapewnić pewne narzędzia, które: w32tm.exe narzędzia wiersza polecenia i GPO

  • Korzystanie w32tm.exe
    • Uruchom następujące polecenie na emulatorze PDC:  

      w32tm / config / manualpeerlist: serwer czasu /syncfromflags:manual /reliable:yes /update

      (gdzie serwer czasu jest -oddzielone spacją lista serwerów czasu.)

      Gdy to zrobisz, uruchom ponownie usługę W32Time.

    • Uruchom następujące polecenie na wszystkich pozostałych DC (które nie są PDC):  

      w32tm /config /syncfromflags:domhier /update

      Gdy to zrobisz, uruchom ponownie usługę W32Time.

 

  • Tworzenie globalnych ustawień GPO w celu wymuszenia synchronizacji czasu 
    • Utwórz GPO i połączyć go z jednostką organizacyjną Kontrolery domeny,
    • Edytuj ustawienia : Konfiguracja komputera \ Szablony administracyjne \ System \ Windows \ czas, to globalne ustawienia konfiguracyjne
    • W zależności od zastosowania, można pozostawić wartości domyślne.
  • Kontrola
    • Można również sprawdzić, czy czas jest należycie ustawiany na PDC poprzez uruchomienie tego poleceniaw32tm.exe /resync /rediscover /no_wait, a następnie sprawdzić identyfikatory zdarzenia ID: 139
    • Aby sprawdzić serwer  źródła czasu: w32tm /query /status